帮助文档

可用报表

Log360 UEBA 提供全面的报表,可帮助识别设备、数据库等活动中的异常情况。每个异常可以分为基于时间的、基于计数的和基于模式的。除此之外,还可以分别为用户和系统分析异常情况。

ueba-anomalies-reports

选项 事件源 异常报表
设备 Windows设备
  • 启动和关闭
  • 安装服务和软件
  • 安装服务和软件
  • 注册活动
  • 应用程序白名单
  • 登录
  • 文件变更
  • 网络共享活动
  • 防火墙变更
Unix设备
  • USB活动
  • 定时任务
  • 登录
  • VMware登录
  • 文件传输
路由器
  • 配置变更
  • 登录
应用 活动目录审计
  • 登录
  • 进程活动
  • 用户管理
微软SQL服务器
  • DDL 和 DML 活动
  • 登录
  • 启动和关闭
  • 密码变更
  • 帐户管理
FTP 服务器
  • 文件传输
  • 登录
  • 文件活动
防火墙设备 -
  • 允许和拒绝的流量
  • 登录
  • 策略活动
  • VPN登录
  • 已分配的VPN IP
  • VPN连接状态
  • VPN用户
云服务 Azure
  • 用户活动
  • 网络安全组变更
  • 公共IP地址
  • 虚拟机/计算机
  • 数据库
  • 存储帐户
  • 资源锁
  • 虚拟网络变更
  • 应用程序网关变更
  • DNS变更
  • 流量管理器
AWS
  • 登录
  • IAM活动
  • 用户活动
  • 网络安全组变更
  • VPC活动
  • WAF变更
  • 安全令牌服务
  • AWS配置报表
  • Amazon自动缩放报表
  • Amazon ELB报表
  • RDS报表
  • S3 Bucket活动报表
  • EC2报表
  • Route 53
Google
  • 用户活动
  • IAM活动
  • 网络安全变更
  • VPC活动
  • Network服务
  • 混合连接
  • 虚拟机/计算机
  • 云函数
  • 应用引擎
  • 谷歌存储
  • GCP资源管理

异常报表

可以为以下情况生成异常报表:

  • Windows、Unix 和 Cisco 设备
  • Active Directory、SQL Server、PAM360 和 FTP 服务器等应用程序。
  • 来自不同供应商的防火墙设备
  • 云服务,例如 AWS、Azure 和 Google

除了上述之外,Log360 UEBA 还通过与全面的特权访问管理解决方案 ManageEngine PAM360 紧密集成来检测特权访问中的异常情况。

可以为用户或实体(机器)跟踪异常。此外,异常可能是:

  • 基于时间的: 活动通常发生的预期时间与实际发生的时间之间存在偏差。例如,用户A通常在晚上11:00到11:15之间登录,但奇怪的是在早上5:16显示登录。
  • Sample time-based anomalies for Windows logons 基于时间的Windows 登录异常示例

  • 基于计数的: 预期活动数量与实际活动数量之间存在偏差。例如,通常一天有 73 个文件修改的文件服务器显示出399个文件修改。
  • Sample time-based anomalies for Windows logons基于计数的文件修改异常示例

  • 基于模式的: 发生了一系列意想不到的事件。每个事件,单独考虑可能不是异常的,但是当它们都被视为一个序列时,它就会偏离预期。例如,用户ueba_user1于下午 4:19 在服务器A上安装了一个软件;如果是用户ueba_user2执行了此活动,这将是一个预期的事件序列。
  • Sample time-based anomalies for Windows logons 基于计数的软件安装异常示例

异常可视化

异常可视化使管理员能够查看每个分析异常的图形表示。它显示了观察值与预期值的差距。

可视化异常:

  • 浏览到您选择的异常报表
  • 在产看明细列下面点击查看明细
  • 将打开一个小部件以显示异常的图形

这是时间异常的示例异常可视化图表。在此示例中,特定用户的预期登录时间在晚上 11 点到 11:15 之间,但实际登录时间显示在上午 5:15 到 5:30 之间。

Sample time-based anomalies for Windows logons 登录时间异常的异常可视化

这是计数异常的示例异常可视化图表。在此示例中,在主机 Log360QA-W12-2 上观察到 1383 个文件删除,而阈值仅为 1033 个此类活动。

Anomaly visualization for a count anomaly 计数异常的异常可视化

Log360 UEBA 还提供模式异常的异常可视化图表。在下面的示例中,用户 DWM-3 正在使用交互式登录(登录类型 2)登录到主机 itsl360-2k12-1。这被识别为一种罕见的模式,并被标记为异常。

Anomaly visualization for a pattern anomaly 模式异常的异常可视化